https://www.bilibili.com/video/BV1jP4y1i7qL
感觉确实是这样=- =
感觉确实是这样=- =
chalk 和 chokidar 均为 npm 上著名包。
GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包(与此 PR 似乎无关),此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2],疑似同一位作者还发布了包含类似行为,名为 chokidar-next 的包 [4]。
从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看,这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。
目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。
1. https://github.com/toeverything/AFFiNE/pull/668
2. https://twitter.com/yihong0618/status/1610919470410928133
3. https://www.npmjs.com/org/chu1204505056
4. web.archive.org/~
5. web.archive.org/~
6. https://github.com/chuzhixin/chalk-next
7. https://www.npmjs.com/package/chalk-next
8. https://www.npmjs.com/package/chokidar-next
#npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security
GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包(与此 PR 似乎无关),此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2],疑似同一位作者还发布了包含类似行为,名为 chokidar-next 的包 [4]。
从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看,这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。
目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。
1. https://github.com/toeverything/AFFiNE/pull/668
2. https://twitter.com/yihong0618/status/1610919470410928133
3. https://www.npmjs.com/org/chu1204505056
4. web.archive.org/~
5. web.archive.org/~
6. https://github.com/chuzhixin/chalk-next
7. https://www.npmjs.com/package/chalk-next
8. https://www.npmjs.com/package/chokidar-next
#npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security
2022:不为所动,做最业余的年度报告
https://blog.hanlin.press/2022/12/2022-annual-report/
https://blog.hanlin.press/2022/12/2022-annual-report/
Firefox 的 User-Agent 中有一段类似 rv:110.0 的字符串,用以表示 Firefox 版本。许多 Firefox 110 用户发现,在多个网站上,Firefox 110 被标记为不受支持的浏览器。有分析表明,这可能是因为 Firefox 110 User-Agent 中的 rv:110.0 会被识别为同样包含 rv:11 的 IE 11 的 User-Agent。
Firefox 的修复是,提供了一个 about:config 配置
https://bugzilla.mozilla.org/show_bug.cgi?id=1805967
#Firefox #WebCompat #UserAgent
Firefox 的修复是,提供了一个 about:config 配置
network.http.useragent.forceRVOnly。如果用户遇到类似网站的问题,可以将此值设置为一个小于 110 的值(例如 109),以解决 rv:11 带来的问题。https://bugzilla.mozilla.org/show_bug.cgi?id=1805967
#Firefox #WebCompat #UserAgent
编注:原视频已被绝赞和谐
【#我们扛住了2022#,与其幻想星辰大海,不如选择活在当下】#2022年你有过哪些崩溃瞬间#? 这一年,中国人说得最多就是“见证历史”。我们见证了波及每个人的严密防疫,见证了记忆中的名人接连去世,见证了骇人听闻的唐山打人事件。我们常常被迫接受现实,因为现实总是那么不真实……随着耳朵被新闻磨出老茧,我们开始更多关心“附近”,关心快递小哥、保洁阿姨、独居老人、货车司机,关心那些扛住了2022的平凡人。网易号的微博视频
https://weibo.com/1974808274/MlPQdjdLG
【#我们扛住了2022#,与其幻想星辰大海,不如选择活在当下】#2022年你有过哪些崩溃瞬间#? 这一年,中国人说得最多就是“见证历史”。我们见证了波及每个人的严密防疫,见证了记忆中的名人接连去世,见证了骇人听闻的唐山打人事件。我们常常被迫接受现实,因为现实总是那么不真实……随着耳朵被新闻磨出老茧,我们开始更多关心“附近”,关心快递小哥、保洁阿姨、独居老人、货车司机,关心那些扛住了2022的平凡人。网易号的微博视频
https://weibo.com/1974808274/MlPQdjdLG
Steam 2022 年度回顾
https://store.steampowered.com/replay
https://store.steampowered.com/replay
